Ransomware Top Stories

ช่องโหว่ EternalBlue: คอมพิวเตอร์ของคุณป้องกันช่องโหว่นี้แล้วหรือยัง?

วิธีตรวจสอบว่าคอมพิวเตอร์ของคุณปลอดภัยจาก WannaCry แล้วหรือยัง?

จากควันหลงของโปรแกรมเรียกค่าไถ่ WannaCry ที่แพร่กระจายไปทั่วโลก ตั้งแต่วันที่ 12 พฤษภาคม ที่ผ่านมา โปรแกรมเรียกค่าไถ่ตัวนี้ทาง ESET ตรวจจับได้ในชื่อ Win32/FileCoder.WannaCryptor.D และด้วยความสามารถที่เหมือนกับ Worm ที่คัดลอกตัวเองและแพร่กระจายไปยังเครื่องอื่นๆในเครือข่าย

ในเหตุการณ์นี้พวกเราเรียนรู้อะไรบางอย่าง และเราอาจบอกได้ว่าอะไรจะเกิดขึ้นต่อมา นอกจากนี้พวกเรายังนำวิธีตรวจสอบช่องโหว่ EternalBlue บน Windows มาฝากด้วย

Worm ของ EternalBlue และ WannaCryptor

EternalBlue เป็นชื่อของช่องโหว่ที่ช่วยให้ WannaCryptor สามารถคัดลอกตัวเอง เพื่อแพร่กระจายในเครือข่าย ซึ่ง EternalBlue ถูกพัฒนาโดย NSA

นี่เป็นผลพวงของการรั่วไหลของอาวุธไซเบอร์ของ NSA โดยฝีมือการล้วงข้อมูลของกลุ่มแฮกเกอร์ The Shadow Brokers ที่เคยผิดหวังจากการประมูลอาวุธไซเบอร์

ในวันที่ 14 พฤษภาคม ทาง Microsoft ได้ปล่อยตัวแก้ไข MS17-010 เพื่อแก้ไขช่องโหว่ SMB แต่ ณ ตอนนั้นยังไม่มีใครรู้ว่าแพทช์มีความเกี่ยวข้องกับ NSA อย่างไร จนกระทั่งทาง The Shadow Broker ออกมา

จากกราฟด้านล่างเราสามารถเห็นอัตราการตรวจจับช่องโหว่ EternalBlue ที่เพิ่มขึ้นตั้งแต่วันที่ช่องโหว่หลุดออกมา

eternalblue_blocks2-768x389

แต่เมื่อวันที่ 12 พฤษภาคม EternalBlue เป็นที่สนใจเพราะถูกกล่าวหาว่าเป็นสาเหตุของเหตุการณ์ทั้งหมด ด้วยองค์ประกอบหลายๆอย่างทำให้ไม่อาจปฏิเสธได้

timeline-EN-768x198

ทั้งผู้ใช้ในบ้าน และผู้ใช้ระดับองค์กรก็ต่างได้รับผลกระทบกันไปตามๆกัน แต่ใครจะรู้ว่า EternalBlue หลุดออกมาก่อนเหตุการณ์ WannaCry เป็นเวลามากกว่า 2 เดือน แต่สำหรับผู้ใช้ที่อัพเดตระบบปฏิบัติการเป็นเวอร์ชั่นล่าสุด และติดตั้งโปรแกรมรักษาความปลอดภัยก็คงไม่ได้เดือดร้อนอะไร

หลายองค์กรต้องปล่อยให้พนักงานกลับบ้านและปิดระบบตัวเองเพื่อป้องกันอันตรายที่จะเกิดขึ้นจากช่องโหว่นี้ ซึ่งถือว่าเป็นมาตรการที่รุนแรงใช้ได้เลยทีเดียว

หลังจากนี้จะเกิดอะไรขึ้น?

เราอาจเห็นข่าวของ “Kill Switch” ผ่านมาบ้างหลังจากการระบาดของ WannaCry ต้องแจ้งให้ทราบก่อนว่าการแพร่ระบาดของ WannaCry นั้นถูกยับยั้งโดย Kill Switch หรือโปรแกรมทำลายตัวเองอย่างที่เราเห็นในภาพยนตร์สายลับ Kill Switch เป็นอีกหนึ่งวิธีที่จะทำให้แฮกเกอร์หนีออกจากสถานการณ์จวนตัวได้ โดยทำลายตัวเองและร่องรอยออกจากระบบ

หลังจากที่การระบาดของ WannaCry สิ้นสุดลงโปรแกรมเรียกค่าไถ่สายพันธุ์ใหม่ที่ไม่มี Kill Switch ก็เริ่มออกมา

วิธีตรวจระบบว่าได้แก้ไขช่องโหว่ EternalBlue แล้วหรือยัง

การป้องกันดีกว่าการแก้ไขเสมอ เราควรทราบว่าระบบของเรานั้นปลอดภัยจากภัยคุกคามในปัจจุบันแล้วหรือยัง เพราะเราก็ไม่สามารถมั่นใจได้ว่าช่องโหว่ EternalBlue จะถูกนำมาใช้อีกในอนาคตหรือเปล่า

ทาง ESET จึงสร้างโปรแกรมเล็กที่สามารถตรวจสอบระบบของคุณว่าปลอดภัยจากช่องโหว่ EternalBlue หรือไม่มาฝากกัน

Screen-Shot-2017-05-22-at-09.18.31-768x381

คุณผู้ใช้สามารถอ่านขั้นตอนการใช้งานได้ที่ ESET Knowledgebase

หากพบช่องโหว่ดังกล่าวทางเราขอแนะนำให้ทำการอัพเดตเพื่อปิดช่องโหว่โดยทันที เพื่อลดความเสี่ยงจากการโดนโจมตีที่ใช้เครื่องมือใกล้เคียงกัน

Author: CASSIUS PUODZIUS
Source:
https://www.welivesecurity.com/2017/05/16/check-eternalblue-pc-patched-wannacryptor-worm-vulnerability/
Translated by: Worapon H.

%d bloggers like this: